Trace Id is missing
跳转至主内容
Microsoft 安全

什么是访问控制?

访问控制是安全的核心元素,通过访问控制可以规定谁可以在怎样的条件下访问特定的应用、数据和资源。

保护资产

已定义的访问控制

访问控制是安全领域的基本元素,可确定谁可以在怎样的情况下访问特定的数据、应用和资源。如同钥匙和预先批准的来宾列表保护着物理空间一样,访问控制策略也以同样的方式保护数字空间。换句话说,就是让合适的人进来,并将不合适的人拒之门外。访问控制策略极为依赖于身份验证和授权等技术,这些技术允许组织明确地验证用户的身份是否真实,以及是否根据设备、位置、角色等上下文向用户授予适当级别的访问权限。

访问控制能保护机密信息(如客户数据和知识产权),使其免于被图谋不轨的人或其他未经授权的用户窃取。访问控制还降低了员工泄露数据的风险,并将基于 Web 的威胁拒之门外。大多数安全驱动的组织都不是手动管理权限,而是依靠身份和访问管理解决方案来实现访问控制策略。

不同类型的访问控制

有四种主要的访问控制类型,每种类型都能以各自独特的方式管理对敏感信息的访问。

自定义访问控制 (DAC)

在 DAC 模型中,受保护系统中的每个对象都有一个所有者,由所有者根据自己的判断将访问权限授予用户。DAC 对资源提供具体问题具体分析的控制方式。

强制访问控制 (MAC)

在 MAC 模型中,用户通过审核批准的形式被授予访问权限。由一个中央授权机构负责管理访问权限,并将访问权限整理为范围均匀的不同层级。这种模式在政府和军事环境中很常见。

基于角色的访问控制 (RBAC)

在 RBAC 模型中,访问权限是根据清楚的业务职能(而不是个人的身份或资历)授予的。该模型的目标是仅为用户提供完成工作所需的数据,不会提供任何多余的数据。

基于特性的访问控制 (ABAC)

在 ABAC 模型中,会灵活地结合时间、地点等特性和环境条件来授予访问权限。ABAC 是最为精细的访问控制模型,且有助于减少角色分配的数量。

访问控制的工作原理

形式最简单的访问控制包括根据用户的凭据识别用户身份,然后在用户通过身份验证后向其授予适当级别的访问权限。

密码、pin、安全令牌,甚至是生物特征扫描,都是用于识别和认证用户的常用凭据。多重身份验证 (MFA)要求用户通过多种方法完成验证,从而提高了安全性。

用户通过身份验证后,访问控制策略将向其授予特定的权限,并允许用户根据自己的需求继续操作。

访问控制的价值

访问控制的目标是防止敏感信息落入坏人之手。对机密数据的网络攻击可能会造成严重的后果,包括知识产权泄露、客户和员工的个人信息暴露,甚至是对公司造成经济损失。

访问控制是安全策略的一个重要组成部分。如果组织希望尽可能降低数据(尤其是存储在云中的数据)遭受未经授权的访问的安全风险,访问控制也是最佳工具之一。

随着容易遭受未经授权的访问的设备不断增加,没有成熟的访问控制策略的组织面临的风险也在不断增加。身份和访问管理解决方案可以简化对这些策略的管理,但是首先要认识到我们需要管理数据被访问的方式以及访问的时机。

如何实现访问控制

与目标之间的关联

在实现访问控制解决方案的重要性方面,与决策者建立共识。这样做的理由有很多,不仅仅是为了降低组织的风险。实现访问控制解决方案的其他原因可能包括:

生产力: 在员工需要使用应用和数据来完成工作目标时,非常及时地向他们授予相应的访问权限。
安全: 在出现威胁时,响应式策略会实时升级,从而保护敏感数据和资源,减少用户访问摩擦。
自助服务: 委派标识管理、密码重置、安全监控和访问请求,省时省力。

选择解决方案

选择标识和访问管理解决方案,既能保护数据,又能确保良好的最终用户体验。理想的情况应该是,为用户和 IT 部门提供顶级服务,包括从确保员工的无缝远程访问到节省管理员的时间的一系列服务。

设置强策略

一旦启动自己选择的解决方案,就应该确定访问资源的人员、这些人员访问的资源内容以及访问资源的条件。访问控制策略可以设计为授予访问权限、使用会话控制限制访问甚或是阻止访问,这些都取决于业务需求。

在此过程中可能存在的问题包括:

• 策略将包含或排除哪些用户、组、角色或工作负载标识?
• 策略适用于什么样的情况?
• 此策略将约束什么用户操作?

遵循最佳做法

设置紧急访问帐户以避免在策略配置错误时被锁定、对每个应用应用条件访问策略、先测试策略再在环境中强制实施策略、为所有策略设置命名标准以及针对中断做好规划。制定正确的策略后,就可以轻松一些了。

访问控制解决方案

访问控制是基本的安全措施,任何组织都可以实施访问控制以防止数据泄露。

Microsoft 安全的标识和访问管理解决方案可确保资产持续受到保护,即使日常操作越来越多地转移到云端。

保护重要的内容。

详细了解 Microsoft 安全

适用于个人的访问控制

启用无密码登录,并通过 Microsoft Authenticator 应用防止未经授权的访问。

了解详细信息

适用于公司的访问控制

借助 Microsoft 安全中集成的标识和访问管理解决方案保护重要的资产。

了解详细信息

适用于学校的访问控制

为学生和看护者简便的登录体验,并保护他们的个人数据。

了解详细信息

Microsoft Entra ID

通过身份和访问管理(以前称为 Azure Active Directory)保护你的组织。

了解详细信息

Microsoft Entra 权限管理

获取标识权限的企业范围内的可见性,并对每个用户进行风险检测。

了解详细信息

常见问题解答

  • 在安全领域,访问控制系统是旨在规范对数字资产(例如网络、网站和云资源)的访问的任何技术。

    访问控制系统应用认证和授权等网络安全原则,根据预先定义的标识和访问策略,确保用户的身份是真实的,且具有访问特定数据的权限。

  • 基于云的访问控制技术对组织的整体数字财产进行控制、在运行时借助云的高效且无需运行和维护昂贵的本地访问控制系统。

  • 访问控制可确保仅允许身份和凭据经过验证的用户访问特定信息,从而帮助防止数据被盗用、损坏或泄露。

  • 访问控制选择性地规定可以查看和使用特定空间或信息的人员。有两种类型的访问控制:物理访问控制以及逻辑访问控制。

    • 物理访问控制 指限制对某个物理位置的访问。这是通过使用锁和钥匙这样的工具、密码保护门以及安全人员的巡查来完成的。
    • 逻辑访问控制 指限制对数据的访问。这是通过标识、认证和授权等网络安全技术实现的。

  • 访问控制是现代零信任安全理念的一项功能,它运用显式验证和最低特权访问等技术来保护敏感信息,防止其落入坏人之手。

    访问控制在很大程度上依赖于两个关键原则:身份验证和授权:

    • 身份验证涉及根据用户的登录凭据(如用户名和密码、生物特征扫描、PIN 或安全令牌)识别特定用户。
    • 授权指按访问控制策略所定义的那样向用户授予适当级别的访问权限。这些过程通常是自动化的。

关注 Microsoft 安全